Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSとオンプレミスをセキュアにつなぐ勘所
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
まちや
March 16, 2026
640
5
Share
AWSとオンプレミスをセキュアにつなぐ勘所
AWSと自己管理外のオンプレのネットワークとの接続観点について
Site-to-Site VPNに絞って解説しております
まちや
March 16, 2026
Featured
See All Featured
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
550
We Are The Robots
honzajavorek
0
240
Scaling GitHub
holman
464
140k
So, you think you're a good person
axbom
PRO
2
2k
Claude Code のすすめ
schroneko
67
220k
Building a Scalable Design System with Sketch
lauravandoore
463
34k
A Tale of Four Properties
chriscoyier
163
24k
Odyssey Design
rkendrick25
PRO
2
670
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
1
250
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
How to build a perfect <img>
jonoalderson
1
5.6k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
Transcript
AWSとオンプレミスを セキュアに繋ぐ勘所 まちや
自己紹介 まちや (町屋 真隆) • 社会人歴:もうすぐ5年目 • 好きな技術:ネットワーク!! • 好きなAWSサービス:Amazon
VPC • Xアカウント:まちや @MasatakaMachiya
今日話すこと ・Site-to-Site VPNを使ってAWSと自社管理外(ユーザ)のオン プレミスを接続するときに考慮するポイント 今日話さないこと ・Direct Connectのお話(本当は話したい)
AWSとオンプレミスの接続パターン インターネット インターネット VPN 専用線接続
AWSとオンプレミスの接続パターン インターネット Site-to-Site VPN Direct Connect
AWSとオンプレミスの接続パターン インターネット Site-to-Site VPN Direct Connect
インターネットVPNを作るってどういうこと? 拠点A 拠点B
インターネットVPNを作るってどういうこと? 拠点A 拠点B 拠点間の代表のルータを繋ぐこと
インターネットVPNを作るってどういうこと? AWS 拠点 VGW CGW Router CGW device
VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータのVPN仕様を合わせる 3.冗長構成の検討
1.VPCのCIDRを決める AWS 拠点 VGW CGW
1.VPCのCIDRを決める AWS 拠点 VGW CGW プライベートIPアドレス クラスA:10.0.0.0~10.255.255.255(10.0.0.0/8) クラスB:172.16.0.0~172.31.255.255(172.16.0.0/12) クラスC:192.168.0.0.~192.168.255.255(192.168.0.0/16)
1.VPCのCIDRを決める AWS 拠点 VGW CGW プライベートIPアドレス クラスA:10.0.0.0~10.255.255.255(10.0.0.0/8) クラスB:172.16.0.0~172.31.255.255(172.16.0.0/12) クラスC:192.168.0.0.~192.168.255.255(192.168.0.0/16) 拠点間で
IPアドレスが被って はいけない!
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスはどこが空いてますか?
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスAとCは使っちゃっている からクラスBがいいかな~
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 クラスBなら 172.16.0.0/16でどうすか?
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 いいですよ~!◎
1.VPCのCIDRを決める AWS 拠点 VGW CGW クラスA:10.0.0.0/8 クラスC:192.168.0.0/16 172.16.0.0/16 パブリックサブネット 172.16.1.0/24
プライベートサブネット 172.16.2.0/24
VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータのVPN仕様を合わせる 3.冗長構成の検討
2.Site-to-Site VPNと対抗ルータの VPN仕様を合わせる AWS 拠点 VGW
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW AES256 SHA2-256 IKEv2 AES256 SHA2-256 IKEv2
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 対向のルータの機種 教えてください!
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 例)YamahaのRTX◦◦です!
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW 対応できますね! VPN仕様はこれでお願いします!
ルータ同士はVPNの仕様を合わせる必要がある AWS 拠点 VGW AES256 SHA2-256 IKEv2 AES256 SHA2-256 IKEv2
Site-to-Site VPNの仕様 仕様 種類 BGP 使用する/しない 暗号化アルゴリズム AES128,AES256, AES128,AES128-GCM-16, AES256-GCM-16
整合性(ハッシュ) アルゴリズム SHA1,SHA2-256, SHA2-384,SHA2-512 DH(Diffie-Hellman)グループ 2,14,15,16,17,18,19,20,21 ,22,23,24 IKEバージョン IKEv1,IKEv2
VPNを構築するために決めないといけないこと 1.VPCのCIDR 2.Site-to-Site VPNと対抗ルータの通信形式 3.冗長構成の検討
3.冗長構成の検討 トンネル1 トンネル2 AWS Site-to-Site VPN 単一および複数の VPN 接続の例 -
AWS Site-to-Site VPN
3.冗長構成の検討 フェイルオーバー用の冗長 AWS Site-to-Site VPN 接続 - AWS Site-to-Site VPN
エンプラ企業は通信会社のNWサービス使っている • NTT • KDDI • ソフトバンク とかとか 詳しくは「◦◦社 VPNサービス」で検索
3.冗長構成の検討 AWS 拠点 VGW 回線は複数持っていますか?
3.冗長構成の検討 AWS 拠点 VGW 例)NTTの回線1個のみです!
ルータ1台構成 (IPSecトンネルは冗長化) トンネル1 トンネル2
3.冗長構成の検討 AWS 拠点 VGW 回線は複数持っていますか?
3.冗長構成の検討 AWS 拠点 VGW 回線はNTTとKDDIの 2回線で冗長化しているよ!
WAN回線の冗長化構成
WAN回線の冗長化構成 VGWは内部で 冗長化済み
まとめ 1.VPCのCIDRを決める ⇒オンプレのCIDRを聞きましょう! 2.Site-to-Site VPNの対抗のVPN仕様を合わせる ⇒拠点側のルータを聞いて調べよう! 3.冗長構成の検討 ⇒回線が複数あるか聞こう!
reverentgeek
honzajavorek
holman
axbom
schroneko
lauravandoore
chriscoyier
rkendrick25
samtorres
caitiem20
jonoalderson
aki_iinuma
